前言

搞iot搞久了,换个方向看看,改改口味。

windows 常见结构体

在分析Cobaltstrike-shellcode之前我们得先了解一下windows下一些常见的结构体。

X86

Thread Environment Block 环境线程块 —— TEB

位于fs[0]的位置,结构如下:

typedef struct _NT_TEB

{

    NT_TIB Tib;                         // 00h

    PVOID EnvironmentPointer;           // 1Ch

    CLIENT_ID Cid;                      // 20h

    PVOID ActiveRpcInfo;                // 28h

    PVOID ThreadLocalStoragePointer;    // 2Ch

    PPEB Peb;                           // 30h          <--注意这里 Process Environment Block

    ULONG LastErrorValue;               // 34h

    ULONG CountOfOwnedCriticalSections; // 38h

    PVOID CsrClientThread;              // 3Ch

    PVOID Win32ThreadInfo;              // 40h

    ULONG Win32ClientInfo[0x1F];        // 44h

    PVOID WOW32Reserved;                // C0h

    ULONG CurrentLocale;                // C4h

    ULONG FpSoftwareStatusRegister;     // C8h

    PVOID SystemReserved1[0x36];        // CCh

    PVOID Spare1;                       // 1A4h

    LONG ExceptionCode;                 // 1A8h

    ULONG SpareBytes1[0x28];            // 1ACh

    PVOID SystemReserved2[0xA];         // 1D4h

    GDI_TEB_BATCH GdiTebBatch;          // 1FCh

    ...

    PVOID ReservedForOle;               // F80h

    ULONG WaitingOnLoaderLock;          // F84h

    PVOID StackCommit;                  // F88h

    PVOID StackCommitMax;               // F8Ch

    PVOID StackReserve;                 // F90h

    PVOID MessageQueue;                 // ???

}
Process Environment Block 线程信息块 —— PEB

位于TEB[0x30]的位置,结构如下:

typedef struct _PEB

{

    UCHAR InheritedAddressSpace;                     // 00h

    UCHAR ReadImageFileExecOptions;                  // 01h

    UCHAR BeingDebugged;                             // 02h

    UCHAR Spare;                                     // 03h

    PVOID Mutant;                                    // 04h

    PVOID ImageBaseAddress;                          // 08h

    PPEB_LDR_DATA Ldr;                               // 0Ch          <--注意这里 DllList 成员,此成员指向 _PEB_LDR_DATA(进程加载模块链表)

    PRTL_USER_PROCESS_PARAMETERS ProcessParameters;  // 10h

    PVOID SubSystemData;                             // 14h

    PVOID ProcessHeap;                               // 18h

    PVOID FastPebLock;                               // 1Ch

    PPEBLOCKROUTINE FastPebLockRoutine;              // 20h

    PPEBLOCKROUTINE FastPebUnlockRoutine;            // 24h

    ULONG EnvironmentUpdateCount;                    // 28h

    PVOID* KernelCallbackTable;                      // 2Ch

    PVOID EventLogSection;                           // 30h

    PVOID EventLog;                                  // 34h

    PPEB_FREE_BLOCK FreeList;                        // 38h

    ULONG TlsExpansionCounter;                       // 3Ch

    PVOID TlsBitmap;                                 // 40h

    ULONG TlsBitmapBits[0x2];                        // 44h

    PVOID ReadOnlySharedMemoryBase;                  // 4Ch

    PVOID ReadOnlySharedMemoryHeap;                  // 50h

    PVOID* ReadOnlyStaticServerData;                 // 54h

    PVOID AnsiCodePageData;                          // 58h

    PVOID OemCodePageData;                           // 5Ch

    PVOID UnicodeCaseTableData;                      // 60h

    ULONG NumberOfProcessors;                        // 64h

    ULONG NtGlobalFlag;                              // 68h

    UCHAR Spare2[0x4];                               // 6Ch

    LARGE_INTEGER CriticalSectionTimeout;            // 70h

    ULONG HeapSegmentReserve;                        // 78h

    ULONG HeapSegmentCommit;                         // 7Ch

    ULONG HeapDeCommitTotalFreeThreshold;            // 80h

    ULONG HeapDeCommitFreeBlockThreshold;            // 84h

    ULONG NumberOfHeaps;                             // 88h

    ULONG MaximumNumberOfHeaps;                      // 8Ch

    PVOID** ProcessHeaps;                            // 90h

    PVOID GdiSharedHandleTable;                      // 94h

    PVOID ProcessStarterHelper;                      // 98h

    PVOID GdiDCAttributeList;                        // 9Ch

    PVOID LoaderLock;                                // A0h

    ULONG OSMajorVersion;                            // A4h

    ULONG OSMinorVersion;                            // A8h

    ULONG OSBuildNumber;                             // ACh

    ULONG OSPlatformId;                              // B0h

    ULONG ImageSubSystem;                            // B4h

    ULONG ImageSubSystemMajorVersion;                // B8h

    ULONG ImageSubSystemMinorVersion;                // C0h

    ULONG GdiHandleBuffer[0x22];                     // C4h

    PVOID ProcessWindowStation;                      // ???

}
_PEB_LDR_DATA 结构体

位于PEB[0xc]的位置,结构如下:

typedef struct _PEB_LDR_DATA

{

 ULONG Length;                                // +0x00

 BOOLEAN Initialized;                         // +0x04

 PVOID SsHandle;                              // +0x08

 LIST_ENTRY InLoadOrderModuleList;            // +0x0c 模块加载顺序

 LIST_ENTRY InMemoryOrderModuleList;          // +0x14 模块在内存中的顺序

 LIST_ENTRY InInitializationOrderModuleList;  // +0x1c 模块初始化时的顺序

} PEB_LDR_DATA,*PPEB_LDR_DATA;                 // +0x24

_LIST_ENTRY 结构体如下

typedef struct _LIST_ENTRY {

 struct _LIST_ENTRY *Flink;

 struct _LIST_ENTRY *Blink;

} LIST_ENTRY, *PLIST_ENTRY, *RESTRICTED_POINTER PRLIST_ENTRY;

三个双向链表(LIST_ENTRY)分别指向_LDR_DATA_TABLE_ENTRY结构体(但并不是都指向开始位置)。如InMemoryOrderList对应第一个模块的结构体,指向_LDR_DATA_TABLE_ENTRY[0x8]

_LDR_DATA_TABLE_ENTRY 结构体

结构如下:

typedef struct _LDR_DATA_TABLE_ENTRY

{

	LIST_ENTRY64	InLoadOrderLinks;           // 0x0

	LIST_ENTRY64	InMemoryOrderLinks;         // 0x8

	LIST_ENTRY64	InInitializationOrderLinks; // 0x10

	PVOID			DllBase;            // 0x18

	PVOID			EntryPoint;         // 0x20

	ULONG			SizeOfImage;        // 0x28

	UNICODE_STRING	FullDllName;                // 0x30

	UNICODE_STRING	BaseDllName;

	ULONG			Flags;

	USHORT			LoadCount;

	USHORT			TlsIndex;

	PVOID			SectionPointer;

	ULONG			CheckSum;

	PVOID			LoadeImports;

	PVOID			EntryPointActivationContext;

	PVOID			PatchInformation;

	LIST_ENTRY64	ForwarderLinks;

	LIST_ENTRY64	ServiceTagLinks;

	LIST_ENTRY64	StaticLinks;

	PVOID			ContextInformation;

	ULONG			OriginalBase;

	LARGE_INTEGER	LoadTime;

}LDR_DATA_TABLE_ENTRY,*PLDR_DATA_TABLE_ENYRY;

X86-64

X86-64X86大同小异,由于我们之后分析的是32位的程序,这里X86-64结构体我就先不介绍,等以后有机会碰到再补充。

Cobaltstrike —— shellcode分析(一)的更多相关文章

  1. CVE-2015-1641 Office类型混淆漏洞及shellcode分析

    作者:枕边月亮 原文来自:CVE-2015-1641 Office类型混淆漏洞及shellcode分析 0x1实验环境:Win7_32位,Office2007 0x2工具:Windbg,OD,火绒剑, ...

  2. 针对中国政府机构的准APT攻击样本Power Shell的ShellCode分析

    本文链接网址:http://blog.csdn.net/qq1084283172/article/details/45690529 一.事件回放 网络管理员在服务器上通过网络监控软件检测到,有程序在不 ...

  3. 一步一步pwn路由器之路由器环境修复&&rop技术分析

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 拿到路由器的固件后,第一时间肯定是去运行目标程序,一般是web服务 ...

  4. CVE-2014-0322漏洞成因与利用分析

    CVE-2014-0322漏洞成因与利用分析 1. 简介 此漏洞是UAF(Use After Free)类漏洞,即引用了已经释放的内存,对指定内存处的值进行了加1.其特点在于攻击者结合flash实现了 ...

  5. CVE-2010-2883-CoolType.dll缓冲区溢出漏洞分析

    前言 此漏洞是根据泉哥的<漏洞战争>来学习分析的,网上已有大量分析文章在此只是做一个独立的分析记录. 复现环境 操作系统 -> Windows XP Sp3 软件版本 -> A ...

  6. BlackArch-Tools

    BlackArch-Tools 简介 安装在ArchLinux之上添加存储库从blackarch存储库安装工具替代安装方法BlackArch Linux Complete Tools List 简介 ...

  7. CVE-2013-3346:十全九美的 Adobe Reader ToolButton UAF 漏洞

    0x01 "Epic Turla" 网络间谍行动 在 2014 年 8 月,被誉为 "世界十大最危险的网络攻击行动" 之一的 "Epic Turla& ...

  8. 【逆向篇】分析一段简单的ShellCode——从TEB到函数地址获取

    其实分在逆向篇不太合适,因为并没有逆向什么程序. 在http://www.exploit-db.com/exploits/28996/上看到这么一段最简单的ShellCode,其中的技术也是比较常见的 ...

  9. [原创]CobaltStrike & Metasploit Shellcode一键免杀工具

    CobaltStrike & Metasploit  Shellcode一键免杀工具 作者: K8哥哥 图片 1个月前该工具生成的exe免杀所有杀软,现在未测应该还能过90%的杀软吧. 可选. ...

  10. scdbg分析shellcode

    https://isc.sans.edu/forums/diary/Another+quickie+Using+scdbg+to+analyze+shellcode/24058/ scdbg -f s ...

随机推荐

  1. 【每日一题】【栈和队列、双端队列】20. 有效的括号/NC52 有效括号序列-211127/220126

    给定一个只包括 '(',')','{','}','[',']' 的字符串 s ,判断字符串是否有效. 有效字符串需满足: 左括号必须用相同类型的右括号闭合.左括号必须以正确的顺序闭合. 来源:力扣(L ...

  2. 【开源库推荐】#4 Poi-办公文档处理库

    原文:[开源库推荐] #4 Poi-办公文档处理库 - Stars-One的杂货小窝 github仓库apache/poi Apache POI是Apache软件基金会的开放源码函式库,POI提供AP ...

  3. 《HTTP权威指南》– 3.HTTP方法和状态码

    常见HTTP方法: 常用HTTP方法 描述 是否包含主体 GET 从服务器获取一份文档 否 HEAD 只从服务器获取文档的首部 否 POST 向服务器发送需要处理的数据 是 PUT 将请求的主体部分存 ...

  4. CGI、WSGI、uWSGI、ASGI……

    在学习 Python Web 开发时候,可能会遇到诸如 uwsgi.wsgi 等名词,下面通过梳理总结,探究它们之间的关系. CGI CGI(Common Gateway Interface)通用网关 ...

  5. 解读JVM级别本地缓存Caffeine青出于蓝的要诀2 —— 弄清楚Caffeine的同步、异步回源方式

    大家好,又见面了. 本文是笔者作为掘金技术社区签约作者的身份输出的缓存专栏系列内容,将会通过系列专题,讲清楚缓存的方方面面.如果感兴趣,欢迎关注以获取后续更新. 上一篇文章中,我们继Guava Cac ...

  6. Qt多线程开发总览,既然用到了就记录一下

    多线程 在LBD_VM_Intercom中使用的一个简单的实例 陶工给的dll需要进行异步操作才可以将视频画面附到窗体上,必须得在画面出现之后才可以附加画面,否则就有可能出现意外bug,所以需要在这个 ...

  7. 网易云VIP音乐NCM文件转MP3,C语言版本。

    前言 网易云的Vip音乐下载下来,格式不是mp3/flac这种通用的音乐格式,而是经过加密的ncm文件.只有用网易云的音乐App才能够打开.于是想到可不可以把.ncm文件转换成mp3或者flac文件, ...

  8. 终于定制出顺手的Obsidian斜杠命令

    wolai.语雀.思源笔记等笔记软件,有一个特别好用的功能,通过斜杠打开快速输入面板,让我们快速输入markdown.插入图片外链.插入文件.插入iframe等,十分方便. 但当我使用obsidian ...

  9. JQuery拖拽移动

    /** * zzh_2022032101_拖拽移动 * @param obj 目标对象 / #id / .class * @param moveOut 是否可以移出边界 */ function dra ...

  10. 阿里云Imagine Computing创新技术大赛决赛启幕!

    2023年1月,由阿里云与英特尔主办,阿里云天池平台.边缘云.视频云共同承办的"新算力 新体验"Imagine Computing创新技术大赛复赛圆满落幕.经过两个多月的激烈角逐, ...